PCI DSS対応の難しさは「あいまいさ」? - @IT
第6回 PCI DSS対応の難しさは「あいまいさ」? 川島 祐樹 NTTデータ・セキュリティ株式会社 コンサルティング本部 PCI推進室 CISSP 2009/8/7 この連載でも「PCI DSSは非常に具体的な要件です」と述べてきましたが、まだまだあいまいな判断ができるところもあります。それはPCI DSSまだまだ「若い」からだともいえます。まずは動き続けるPCI DSSの現状を紹介しましょう(編集部) PCI DSSは動き続ける 第5回「カード情報システムでのIIS、QSAはどう見る?」から数カ月空いてしまいましたことをお詫びいたします。この間、さまざまな出来事がありました。個人的なことや、どちらかというとQSAやPA-QSAなど審査をする立場での出来事もありますが、どのようなことが起きているか雰囲気を知っていただくのも面白いかと思いますので、駆け足で振り返ってみたいと思います。 ●P
ASV検査、ペネトレテスターの思考を追う
※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。 また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 連載第11回「ハニーポットによるウイルス捕獲から見えてくるもの」から13回「プレイバックPart.II:シフトした脅威の中で」では、コンピュータウイルスを題材に筆者の視点で書かせていただいた。新年は心機一転というわけでもないが、筆者自身、
カード業者じゃなくてもセキュリティに効く? 一般企業にとってのPCI DSS
実践的なセキュリティ基準として最近よく耳にする「PCI DSS」とは、どのようなものだろうか。PCI DSS(Payment Card Industry Data Security Standard)とは、5大国際カードブランド(Visa International、MasterCard Worldwide、American Express、Discover Financial Services、JCB International)が2004年に共同で作成したカード会員データの漏えい防止を目的とした情報セキュリティ対策の実装要求基準である。2006年にPCIセキュリティ標準協議会(PCI SSC:PCI Security Standards Council)が設立されてから米国を中心に急速に普及している事実上の国際標準となっている。現在は、このPCI SSCという団体が基準の策定や改良、普
クレジット情報を守る「日本カード情報セキュリティ協議会」発足 - @IT
2009/04/21 「日本カード情報セキュリティ協議会(Japan Card Data Security Consortium:略称JCDSC)」が4月21日、正式に発足した。NTTデータ・セキュリティが中心となって運営していた設立準備会は4月21日、31社の参加企業とともに第1回総会を開催し、事務局と運営委員を選定した。 日本の「改正割賦販売法」と世界の「PCI DSS」の悩ましい関係 協議会総会において、日本オフィス・システム コンサルティング推進室の森大吾氏が日本のカードセキュリティの現状を解説した。2008年6月に成立した改正割賦販売法では、原則に当たる部分は経済産業省で決め、具体的な設定基準などを定めた細則は国が認定した業界団体、割賦販売協会で決める。その認定割賦販売協会として、日本クレジット協会が4月1日に発足している。 現状のカード情報セキュリティの基準は、原則に当たる政令
クレジットカード業界の情報セキュリティの課題
クレジットカード業界の情報セキュリティの課題:PCIデータセキュリティ基準は使えるか?(2)(1/2 ページ) クレジットカードの情報セキュリティの基準となるPCIデータセキュリティ基準(PCI DSS:Payment Card Industry Data Security Standard)の具体的な要求基準を解説する。それと今後の課題を取り上げる。 前回の「クレジットカード業界の情報セキュリティを学ぶ」は、「PCIデータセキュリティ基準(PCI DSS:Payment Card Industry Data Security Standard)」の誕生の背景と概論、ほかのセキュリティ基準との違いに焦点を絞って説明した。今回はどのような業種や規模の会社にPCI DSSが必要とされるのか、さらに具体的な要求基準を解説する。 PCI DSSへの準拠の必要性 読者の皆さんが気にされるのは、クレジ
クレジットカード業界の情報セキュリティを学ぶ
上記はすべて、海外のWebサイトを経由したサイバー攻撃により情報が流出した。具体的にはWebサイトのSQLインジェクションの脆弱(ぜいじゃく)性を利用し、外部から不正なコマンドを発行し、クレジットカード情報を含めた個人情報を抜き取る手法によった。 上記の中で、特にサウンドハウスに関する事故は象徴的であった。事故の教訓を広く知ってもらい、同様の事故の再発を抑止することを目的に、発覚からの対応経緯について同社はつぶさに公表した。 近年のクレジットカード犯罪の傾向 ここで整理しておきたいのは、クレジットカード情報が含まれた個人情報が漏えいする事件/事故の特徴である。 クレジットカードをECサイトなど非対面で使用する際は、ほとんどが16桁(けた)のカード番号と有効期限により承認処理されている。すなわちクレジットカードは、カードの実物がなくとも、その情報だけで盗むことができるという特徴がある。 クレ
PCI DSS v1.2で注目すべき4つの変更点 - @IT
第3回 PCI DSS v1.2で注目すべき4つの変更点 川島 祐樹 NTTデータ・セキュリティ株式会社 コンサルティング本部 PCI推進室 CISSP 2008/11/21 2008年10月にPCI DSSがアップデートされました。このアップデートでは「WEP利用の禁止」という項目が注目を集めていますが、そのほかにもすべてのシステムで検討すべき対策が盛り込まれています。第3回では今回のバージョンアップの内容と、そのアップテートの狙いを解説します(編集部) 第1回「エンジニアも納得できる“PCI DSS”とは」、第2回「あの手この手で守るべきカード情報、その中身とは?」では、PCI DSSの概要を解説しました。2008年10月にはPCI DSSの最新バージョン1.2がリリースされ、各所で話題になっていますが、第3回はこのバージョン1.2の変更点と対応に当たっての注意点を述べたいと思います。
VISA、大手のカード加盟店にPCI DSS準拠を義務化-2010年9月30日までに
VISAは11月11日(シンガポール時間)、カード産業におけるデータセキュリティ基準「PCI DSS」において、順守に必要な国際的に統一された枠組みを発表した。その中で、VISAカードの取引件数が年間600万件を超えるような大手加盟店に、2010年9月30日までのPCI DSS準拠を義務化した。 PCI DSSは、カード産業におけるデータセキュリティ基準。具体的な実装レベルのセキュリティ要件が定められており、カード情報流出を防止するため、カード加盟店やプロセサ(決済代行処理事業者)などに準拠が推奨されている。今回発表した枠組みの中ではまず、バリデーションプログラムの統一が行われた。 PCI DSSに準拠するためには、「訪問審査」「脆弱性スキャン」「自己問診」などの審査をクリアしなければならない。どの審査を受けるかはカード取引件数などに応じて異なり、その条件を定めたのがバリデーションプログラ
「パスワードは90日ごとの変更」が義務づけられる!?
個人情報保護,内部統制,グリーンIT…。米国でブームになったことが2年くらい遅れて日本でブームになるというのはいつものことだが,もしかすると次のブームになるかもしれないのが,「PCIDSS(PCIデータセキュリティ規準)」である。 PCIDSSとは,有力なカード・ブランド会社5社が2004年12月に共同で策定した情報セキュリティの規準(関連記事)。情報システムからのカード情報の漏洩を防ぐためのものである。「カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること」「システムパスワードと他のセキュリティ・パラメータにベンダー提供のデフォルトを使用しないこと」など12項目の要件で構成されており,各項目はさらに具体的な中項目,小項目に分けられている。 PCIDSSは,クレジットカード会社のためだけの基準ではなく,幅広い事業者が対象になる。PCIDSSを推進する立場にある
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
